Einloggen, um private Nachrichten zu lesen 
Benutzername: Passwort:   
  Christliche-Teestube (Forum.)
  Hier sind verschiedene aktuelle Themen.
Index  FAQ  Suchen  Mitgliederliste  Benutzergruppen  Profil  Registrieren

     Intro     Portal     Index     
EBAY flickt Sicherheitslücke.
Gehe zu:  
Neues Thema eröffnen   Neue Antwort erstellen    Christliche-Teestube (Forum.) Foren-Übersicht » Aktuelle Tagesgeschehen
Autor Nachricht
Golf_Variant



Offline

Anmeldedatum: 03.07.2006
Beiträge: 4211
Wohnort: Niedersachsen.
BeitragVerfasst am: Mi Sep 12, 2007 7:29 am Antworten mit Zitat

Von Frank Patalong

Zwei Wochen lang wurden Ebay-Kunden mit betrügerischen Offerten perfider Krimineller beschickt. Die dafür nötigen Adressen hatten sie aus den Datenbanken von Ebay selbst gefischt - eine erhebliche Sicherheitslücke. Jetzt ist das Leck zumindest bei Geboten ab 100 Euro gestopft .

Wenige Stunden, nachdem SPIEGEL ONLINE über eine klaffende Sicherheitslücke bei Ebay berichtete, ist es dem Unternehmen nach eigenen Angaben gelungen, das Leck zu stopfen.

Trügerische Sicherheit: Gefälschte Versicherung in Ebays Namen auf der inzwischen verschwundenen betrügerischen Bezahlseite
Über mindestens zwei Wochen hatten unbekannte Cyber-Kriminelle Adressdaten unterlegener Bieter in Online-Auktionen gesammelt, um ihnen umgehend betrügerische Offerten zu machen. Im Namen der Verkäufer offerierten sie, die Ware doch noch an die unterlegenen Bieter verkaufen zu wollen, und forderten sie zur Zahlung auf.

Eine von zahlreichen Betrugsmethoden, die auf der Online-Auktionsplattform Ebay seit Jahren bekannt sind. Das Phänomen nennt sich dort "Fake SCO", was für "gefälschte Zweite-Chance-Offerte" steht. Neu und für viele Ebay-Nutzer schockierend war allerdings das Ausmaß des Betrugs-Mail-Versandes in den letzten Wochen.

Denn spätestens seit dem 28. August gab es ein im Internet zugängliches und möglicherweise gleich von mehreren Betrügergruppen genutztes Skript, mit dem sich die Identitäten und E-Mail-Adressen unterlegener Bieter in Auktionen automatisch einsammeln und direkt mit Betrugsmails beschicken ließen. Das Skript war so eingestellt, dass es sich für die Betrüger auch lohnte: Gebote unter 100 Euro wurden grundsätzlich ignoriert.

Späte Reaktion, dann aber zackig

Wohlgemerkt "wurden" - denn seit heute morgen ist nicht nur das Skript nicht mehr unter der von SPIEGEL ONLINE noch am Montag überprüften Adresse zu finden. Der ganze Nutzeraccount, auf dem es hinterlegt war, wurde gelöscht: Das Skript lag auf dem Server einer Schule in Luxemburg, abgespeichert auf den Seiten eines bestimmten Schülers. Dessen Account, in den sich die Täter möglicherweise eingehackt hatten, ist über Nacht verschwunden.

Somit lassen sich Ebays Angaben, das Problem auch grundsätzlich gelöst zu haben, anhand des in den letzten Wochen so erfolgreichen Skriptes derzeit nicht mehr überprüfen. Nach Veröffentlichung eines Berichtes über die Betrugsmasche (mehr...) bei SPIEGEL ONLINE am Montagabend warnte Ebay seine Kunden per "Marktmitteilung".

Rund vier Stunden später hatte der Auktionator eine Lösung implementiert, die er offenbar für hinreichend hält, eine ähnliche Betrugs-Mail-Welle in Zukunft zu verhindern: "Ab sofort werden wir Mitgliedsnamen der Bieter ab einem Gebot von 100 Euro und mehr nicht mehr öffentlich sichtbar darstellen. In diesem Fall sind die Mitgliedsnamen der Bieter in der Gebotsübersicht in Zukunft nur noch für den Verkäufer selbst sichtbar."

Das funktioniert, weil man Daten über Nutzer selbst über eine Sicherheitslücke nur dann abrufen kann, wenn man weiß, wer diese Nutzer sind. Der SCO-Betrug basiert aber auf dem Grundprinzip, den Teilnehmern ganz spezifischer Auktionen gezielte Angebote zu machen.

Diese Umstellung nahm Ebay bereits gegen 22.30 Uhr am Montag vor. In Kombination mit der Schließung des Nutzeraccounts, auf dem das Hacker-Script hinterlegt war, dürfte die aktuelle Betrugs-Mail-Welle der letzten Wochen somit beendet sein. Bereits kurz nach Mitternacht wiesen Ebay-Nutzer nach, dass es zwar nach wie vor möglich ist, über die API-Schnittstelle des Ebay-Systems Daten über Ebay-Auktionsteilnehmer abzufischen, nicht mehr aber bei den anonymisierten Auktionen ab Biethöhen von 100 Euro.

Sicherheitslücke: Betrüger bedienen sich in Ebay-Datenbanken (10.09.2007)Auch dieses Problem ist Ebay allerdings bekannt. Am Dienstagvormittag versicherte Ebay-Sprecher Nerses Chopurian im Gespräch mit SPIEGEL ONLINE, dass der nun identifizierte Schwachpunkt in der API-Schnittstelle laut Versicherung der Ebay-Techniker in den USA auch grundsätzlich für alle Auktionen bereinigt würde. Chopurian: "Das Problem wird definitiv im Laufe des heutigen Tages gelöst."

Quelle. Spiegel-Online
_________________
Jesus sagt. Ich bin der WEG, die WAHRHEIT und das LEBEN, niemand kommt zum Vater (Gott) denn durch mich.
Johannes 14,6.
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden Website dieses Benutzers besuchen
Forenking





Verfasst am: Mi Sep 12, 2007 7:29 am



Beiträge der letzten Zeit anzeigen:   
Neues Thema eröffnen   Neue Antwort erstellen    Christliche-Teestube (Forum.) Foren-Übersicht » Aktuelle Tagesgeschehen


 
Du kannst keine Beiträge in dieses Forum schreiben.
Du kannst auf Beiträge in diesem Forum nicht antworten.
Du kannst deine Beiträge in diesem Forum nicht bearbeiten.
Du kannst deine Beiträge in diesem Forum nicht löschen.
Du kannst an Umfragen in diesem Forum nicht mitmachen.

phpBB skin developed by: John Olson
Impressum des Forums | Datenschutz | Kostenloses Homepage Forum von Forenking.com | Powered by © phpBB Group